Le 16 septembre 2022, le programme de subvention SLGCP (State and Local Cybersecurity Grant Program) a été officiellement inauguré, donnant le coup d’envoi d’une initiative de quatre ans dotée d’un milliard de dollars, créée dans le cadre de la loi sur l’investissement dans les infrastructures et l’emploi, Infrastructure Investment and Jobs Act (IIJA). Le financement de ce programme aide les entités éligibles à faire face aux risques et menaces de cybersécurité pesant sur les systèmes d’information détenus ou exploités par les gouvernements étatiques, locaux, territoriaux ou tribaux (SLTT).
Le programme de subvention est une source de financement bienvenue pour permettre aux gouvernements de mieux se protéger contre les cybermenaces en constante évolution telles que les ransomwares et les violations de données. Le dernier rapport de Zscaler ThreatLabz sur le phishing révèle une augmentation de 110 % des attaques de phishing menées contre le gouvernement en 2021. En outre, le rapport de ThreatLabz sur l’état des ransomwares révèle une augmentation de 37 % des attaques de ransomware à double extorsion.
Pour l’exercice 2022, 185 millions de dollars sont mis à la disposition des gouvernements SLTT dans le cadre du programme de subvention, les allocations étant fixées pour chaque État et territoire. Les gouvernements doivent toutefois réfléchir à la manière d’optimiser les possibilités de financement sur l’ensemble des quatre années, étant donné que les subventions doublent en 2023, puis diminuent légèrement en 2024 avant d’être réduites pour la dernière année, en 2025.
Comment Zscaler peut vous aider
La plupart de nos clients ont anticipé le programme SLCGP et ont déjà mis en place le comité de planification de la cybersécurité requis qui coordonne, développe et approuve le plan de cybersécurité du gouvernement. Zscaler sert de ressource aux gouvernements SLTT de diverses manières, notamment :
- Conseil sur votre plan de cybersécurité, en adaptant les solutions Zero Trust aux exigences de financement
- Mise en place d’une sécurité Zero Trust pour l’ensemble de l’État dans un modèle de services partagés via une plateforme de sécurité multicloud
- Mise à disposition d’un langage de solution d’architecture Zero Trust pour le processus de mise en œuvre
- Sensibilisation des parties prenantes à l’architecture Zero Trust
- Sessions de brainstorming avec les architectes de solutions pour planifier une transition pluriannuelle vers une architecture Zero Trust
- Réalisation d’analyses de rentabilité avec notre équipe chargée de la valeur commerciale
- Réalisation d’évaluations des risques afin d’identifier les vulnérabilités cybernétiques hautement prioritaires
- Mise à disposition de solutions Zero Trust autorisées par le StateRAMP
Cas d’utilisation
Reconnu par plus de 300 entreprises du secteur public, Zscaler a déployé des solutions de sécurité Zero Trust Exchange éprouvées à tous les niveaux de gouvernement. Voici quelques exemples.
- Défi : améliorer l’efficacité des utilisateurs, réduire le temps de déploiement de nouveaux outils et services, renforcer et standardiser la posture de cybersécurité pour prendre en charge un personnel hybride permanent
- 30 000 utilisateurs ; 90 agences
- Résultats : connexions 5 fois plus rapides que les VPN ; 17,6 millions de violations de politiques et plus de 390 000 menaces de sécurité bloquées
- Défi : adopter une approche Zero Trust pour répondre aux demandes d’opérations sur site et à distance et fournir les services du tribunal indépendamment de l’emplacement ou de l’appareil de l’employé
- 10 000 salariés ; 140 000 utilisateurs
- Résultats : augmentation du nombre de salles d’audience virtuelles de 40 à 400 ; réduction des coûts technologiques estimée à 10,7 millions de dollars
- Défi : devenir une ville entièrement numérique et connectée en fournissant des services municipaux essentiels indépendamment de l’emplacement, en permettant aux employés d’utiliser n’importe quel appareil depuis leur domicile
- 50 000 collaborateurs au service de 4 millions de citoyens et 503 000 entreprises
- Résultats : déploiement d’une plateforme de télétravail en moins de 2 semaines ; transfert de 18 000 employés du bureau vers un lieu de travail distant
- Défi : déplacer en toute sécurité l’infrastructure, les applications et les données vers le cloud afin de moderniser les services et réduire l’empreinte du data center
- 5 500 utilisateurs au service de 4 millions de citoyens
- Résultats : 33,1 millions de violations des politiques d’accès évitées ; 1,2 million de menaces de sécurité bloquées
Présentation du programme
Pour ceux qui ne connaissent pas le programme de subvention State and Local Cybersecurity Grant Program, en voici un aperçu général. De plus amples informations sont disponibles sur le site Web de la CISA (Cybersecurity & Infrastructure Security Agency).
- Désigne un programme de subvention d’un milliard de dollars sur 4 ans.
- Permet au DHS de réaliser des investissements ciblés en matière de cybersécurité dans les agences gouvernementales étatiques, locales et territoriales.
- Le but est d’améliorer la sécurité des infrastructures critiques et la résilience des services fournis aux communautés à travers quatre objectifs :
- Gouvernance et planification : développer et déployer des structures de gouvernance appropriées, ainsi que des plans, afin d’améliorer les capacités de réponse aux incidents de cybersécurité et assurer la continuité des opérations.
- Évaluation : identifier les domaines à améliorer dans la posture de cybersécurité des gouvernements SLTT sur la base de tests, de bilans et d’évaluations structurées en continu.
- Atténuation : mettre en œuvre des mesures de sécurité proportionnées au risque (résultats des objectifs 1 et 2), en utilisant les bonnes pratiques décrites dans le cinquième des 16 éléments requis des plans de cybersécurité et celles répertoriées plus en détail dans le NOFO.
- Développement du personnel : veiller à ce que le personnel de l’entreprise reçoive une formation adéquate en cybersécurité, en fonction de ses responsabilités, comme le suggère la National Initiative for Cybersecurity Education. Un plan de cybersécurité doit être préparé pour la demande de subvention, comprenant la gestion des vulnérabilités, la définition des priorités et la protection des infrastructures critiques.
- L’agence d’administration d’État (State Administrative Agency ou SAA) désignée peut s’inscrire au programme en tant qu’entité unique ou dans le cadre d’un projet de groupe multi-entité.
Détails du financement
- Au cours de l’exercice 2022, 18 millions de dollars sont alloués dans le cadre du programme de subvention, les allocations étant fixées pour chaque État et territoire.
- Le financement total se répartit comme suit : 200 millions de dollars pour l’exercice 2022, 400 millions de dollars pour l’exercice 2023, 300 millions de dollars pour l’exercice 2024 et 100 millions de dollars pour l’exercice 2025.
- Chaque agence administrative d’État (SAA) désignée doit satisfaire à une exigence de partage des coûts non fédéraux de 10 % ; le partage des coûts ou la contrepartie des coûts ne sont PAS requis pour les projets de groupe multi-entité.
- L’agence SAA doit consacrer au moins 80 % des fonds alloués aux collectivités locales.
- 25 % du total des allocations de l’État doivent soutenir des entités rurales.
Comment s’inscrire ?
La procédure de candidature se déroule en plusieurs étapes, comme suit :
- 16 septembre 2022 : l’offre de subvention est publiée.
- L’inscription est obligatoire ; le processus peut prendre quatre semaines ou plus.
- Un plan de cybersécurité doit être préparé pour l’application, y compris la gestion des vulnérabilités, la définition des priorités et la protection des infrastructures critiques.
- 15 novembre 2022 : les demandes doivent être déposées avant cette date.
- Deux ou plusieurs agences SAA peuvent s’inscrire à des projets communs, mais elles doivent néanmoins soumettre des candidatures séparées.
Pour plus d’informations sur le programme de subvention State and Local Cybersecurity Grant Program, contactez Zscaler dès aujourd’hui pour déterminer comment nous pouvons vous aider à vous inscrire.
Autres ressources
Livre blanc : Adopter une approche Zero Trust à l’échelle de l’État
Défendre le gouvernement contre les attaques de ransomware
Zscaler pour le secteur public en bref